SASE定义、技术趋势及应用场景有哪些？

华为星河 AI 融合 SASE 解决方案面向多分支场景上网上云的组网和安全。

SASE 是一种新兴的云架构模型，旨在提供云原生的网络和安全服务，以满足现代企业的需求。SASE 通过将网络和安全功能集成到云平台中，简化并统一了企业的网络和安全架构，提供了更灵活、更安全、 更高效的网络连接和应用访问体验。 SASE 的核心思想是将网络和安全功能从传统的物理设备转移到云平台上，并通过软件定义技术和虚拟 化技术将其与网络流量紧密结合。最终，企业可通过云端集中管理和调整网络连接和安全策略，无论用 户和应用程序位于何处，都能获得高效、安全和一致的访问体验。

在业界中，SASE 相关技术已经逐渐成熟并形成体系化。自 2021 年开始，已经走出最初的技术炒作期， 逐步迈向实用落地阶段。各个厂商的 SASE 解决方案开始迅速涌现，并面向市场推出。 部分厂商在网络服务上更有经验和优势，通过在广域网接入点增加安全服务来提供 SASE 服务。部分厂 商则通过合作方式构建自己的 SASE 服务，且更加注重安全服务能力的发展。Gartner 将这类注重安全 服务的厂商划分为 SSE（Secure Service Edge，安全服务边缘）服务提供商，以区别于强调网络与安 全融合的服务提供商。此外，也有一些厂商将专线与安全能力融合称为 SASE 服务，例如专线加云端防 火墙服务等，这是 SASE 定义的延伸，属于适应国内外市场而发展起来的。

在 CSA 大中华区 SASE 工作组的研究中，提出了 SASE 的四个核心技术和三个主要应用场景。其中， 边缘计算是 SASE 的一个核心技术。边缘计算是一种新型的计算模式，将云计算能力下沉到靠近用户和数据源的网络边缘侧，通过融合计算、网络、存储、应用和安全的分布式计算系统，在就近位置提供低 延时和智能化服务。而 SASE 的网络服务和安全服务追求低延迟的效果，因此 SASE 的处理节点需要靠 近企业分支和用户，流量才能得到就近的安全威胁分析和防护处理，并快速接入更优质量的网络，以实 现应用加速等效果。边缘计算的智能互联服务满足了不同行业对业务实时性、数据融合、安全与隐私保 护等方面的关键需求。 2019 年 Gartner 在《The Future of Network Security Is in the Cloud》提出 SASE 这一新兴技术概念， 并将 SD-WAN、SWG、CASB、ZTNA、FWaaS 定义为 SASE 的五大核心部件。

SD-WAN SD-WAN（Software-Defined WAN，软件定义广域网）通过智能路由、安全增强、性能优化、管理 控制以及多链路冗余等特性，为企业提供灵活、智能且高效的网络连接，助力企业实现高效、可靠的远 程办公和业务拓展。 • SWG SWG（Secure Web Gateway，安全 Web 网关）用于保护用户访问互联网的安全。通过集成多种功 能和技术，SWG 可以实现对 Web 流量的控制与检测，阻止网络威胁和数据泄露，防范恶意软件、恶意 网站和不良内容的传播。 • CASB CASB（Cloud Access Security Broker，云访问安全代理）用于保护企业在使用云服务时的安全性和 合规性。CASB 充当了企业内部网络和云提供商之间的中间代理，为企业提供了云环境中的数据和应用 程序的可见性、控制和保护。

• ZTNA ZTNA（Zero Trust Network Access，零信任网络访问）是 SASE 的关键能力之一。ZTNA 基于“永 不信任，始终验证”的原则，对每个访问请求进行严格的身份验证和授权。通过细粒度的访问控制， 确保只有授权用户和设备才能访问特定的应用程序和服务。ZTNA 通常与 IAM（Identity and Access Management，身份识别与访问管理）系统集成，以实现动态的访问控制。用户需要先认证，才能访问资源。 ZTNA 会实时监测用户访问行为，杜绝越权访问，并及时处置安全威胁。 • FWaaS FWaaS（Firewall as a Service，服务化部署的防火墙）是指以云服务的模式提供防火墙功能。 FWaaS 将传统的基于硬件的防火墙功能移至云端，通过云服务提供商来提供和管理防火墙服务，以保护 企业的网络和应用程序安全。 2020 年，MEF（Metro Ethernet Forum，城域以太论坛）发布了白皮书《MEF SASE Services Framework》，旨在为 SASE 服务框架制定统一的标准，涵盖 SD-WAN、安全性、自动化和其他标准 化工作。为了进一步推动 SASE 服务的规范化，MEF 还启动了 SASE 服务定义项目，该项目致力于制 定一系列标准化规范，包括 SD-WAN 服务属性与框架、SD-WAN 服务的应用安全、零信任安全框架 与服务属性、通用 SD-WAN 边缘设备、SD-WAN 服务的性能监控与服务准备测试、基于意图的编排 和策略驱动的业务流程等。 在 Gartner 和 MEF 的引领下，SASE 正朝着更加开放和标准化的方向发展，一个更加开放、灵活和安 全的网络未来正在逐步成型。

华为星河 AI 融合 SASE 解决方案面向多分支场景上网上云的组网和安全。针对用户群组、终端类型、访 问应用和 SaaS 权限、接入地点等，统一控制接入策略。并结合安全风险感知，持续验证接入连接合规， 实现零信任精细化访问控制的防护效果。在企业和运营商场景下，SASE 解决方案可以提供有竞争力的 方案组合和一站式服务能力。

基于企业客户不同需求场景，划分为终端安全接入、分支安全互联、数据中心安全、统 一安全运营等。根据场景安全等级要求，叠加组合，按需部署，提供统一的终端安全、分支安全、数据 中心防护、统一安全运营的一体化安全能力。

基于运营商和 MSP 的不同需求场景划分，可提供安全专线服务、安全 SD-WAN 服务、 安全 SSE 服务、终端安全服务等。根据客户场景安全等级要求，叠加组合，可按需提供订阅服务。提供 专线、组网、云服务等网络和安全的建设及管理，实现代建、代管、代维的一站式服务能力。